摘要：由于我國信息安全技術起步較晚，雖然各大企業(yè)已經建立了較為完善的信息安全保障體系，并且進一步提高了信息安全管理的標準，但是仍然存在著企業(yè)信息安全管理狀況混亂、力度不夠、執(zhí)行不強等問題。本文首先介紹了信息安全管理度量的基本原理，并且闡述了企業(yè)信息系統(tǒng)安全管理度量的意義，建立了信息系統(tǒng)安全管理度量數(shù)據模型，最后提出了信息系統(tǒng)安全管理度量方案研究。

關鍵詞：現(xiàn)代企業(yè)；信息安全管理；安全度量

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-7712 （2012） 14-0027-01

隨著現(xiàn)代社會科學不斷進步，企業(yè)的信息化建設也在穩(wěn)步推進。然而，支持企業(yè)網絡化運營的信息系統(tǒng)卻暴露出越來越多的問題，尤其是企業(yè)信息安全問題更是引起了社會各界的廣泛關注，由此，對于企業(yè)信息系統(tǒng)安全性進行度量是目前亟待解決的問題，也是保證企業(yè)信息安全的基礎。

一、信息安全管理度量的基本原理

（一）度量目標的明確。度量目標影響著安全度量采用的指標參數(shù)和安全基線，也是一個企業(yè)實施信息安全度量的動機，度量目標可以分為兩類，一類是長期度量目標，另一類是短期度量目標。企業(yè)信息安全的長期度量目標包括對信息安全的發(fā)展進行分析判斷、對信息安全進行有效控制、為信息安全管理提供必要支持等；企業(yè)信息安全的短期目標包括對安全項目投入后的收益、為短期信息安全管理提供支持等。

（二）度量指標的確定。度量指標的確定是根據企業(yè)度量目標和企業(yè)信息安全的實際需求得出的，在選取度量目標的過程中要遵循兩個重要原則，一是定性與定量相互結合的原則，二是可操作性原則。但是，在企業(yè)信息安全度量的過程中經常遇到多種因素，這就使得部分度量指標可以做到量化，而部分度量指標是非量化的，企業(yè)信息安全度量建立的數(shù)學模型也應該能夠滿足量化計算，否則，很有可能導致由于度量指標無法計算而得不到最終有效結果。

（三）度量制度的制定。對企業(yè)信息管理系統(tǒng)進行安全度量之前需要建立完善的信息安全度量模型，對于建立專業(yè)人員隊伍、對人員進行專業(yè)培訓、確定信息安全度量時間等等，都需要一套完整的信息安全度量制度來進行支持。

二、企業(yè)信息系統(tǒng)安全管理度量的意義

對企業(yè)信息安全系統(tǒng)進行安全度量主要是為企業(yè)信息系統(tǒng)的安全指明方向，安全度量是需要數(shù)字進行支持的，但是，數(shù)字在任何情況之下都會存在部分偏差，我們需要不斷地努力改正，才能使得安全度量更為完善可靠，才能夠通過安全度量達到對企業(yè)進行風險管理的目的，不斷提高企業(yè)信息系統(tǒng)的穩(wěn)定性和可靠性。企業(yè)通過風險管理可以加強預防措施，降低信息安全事故的發(fā)生概率，企業(yè)風險管理是為信息系統(tǒng)決策提供服務的，而對企業(yè)信息系統(tǒng)進行安全度量則是為風險管理提供服務。由此，我們要通過將企業(yè)信息風險進行量化來達到對企業(yè)信息系統(tǒng)的風險進行管理的目的。

對于企業(yè)來說，進行信息安全度量能夠幫助企業(yè)找到信息安全問題所在、理解安全風險的危害、明確安全管理的弱點等，并且針對這些問題提出進一步的改進措施。

通過對企業(yè)信息系統(tǒng)安全管理的度量，能夠了解企業(yè)信息系統(tǒng)中存在的風險，并且針對相應的風險問題提出解決方法，去除企業(yè)信息系統(tǒng)中存在的安全隱患，這就需要一套完善的企業(yè)信息系統(tǒng)安全度量方案，并且要保證這個度量方案能夠正確實施，這樣才能夠將企業(yè)信息系統(tǒng)中存在的安全隱患問題全部消除，解決了企業(yè)網絡化運營中存在的風險問題，為企業(yè)的發(fā)展決策提供有力支持。

三、信息系統(tǒng)安全管理度量數(shù)據模型

為了能夠保證企業(yè)安全管理度量方案能夠有效實施，需要一個數(shù)據模型來提供安全威脅、風險對策、資產度量的數(shù)量值。

四、企業(yè)信息系統(tǒng)安全管理度量方案研究

（一）覆蓋和控制。覆蓋和控制是用來度量企業(yè)在進行安全體系的擴展和延時的時候其范圍和面積的大小，通常情況下，企業(yè)制定的安全計劃的目的都是能夠保證企業(yè)信息安全能夠可持續(xù)發(fā)展，但是，現(xiàn)實情況經常發(fā)生的是實施部門與被實施用戶之間相互配合不夠，而覆蓋和控制的度量能夠幫助企業(yè)管理者清楚明了安全計劃與實際實施中存在的差距。覆蓋指的是安全控制應用到獲得資源的目標群之間的一個特定范圍，覆蓋的度量目的是測量企業(yè)安全部門執(zhí)行命令的能力。

（二）可靠性度量。企業(yè)信息系統(tǒng)可靠性度量包括兩個部分，一是系統(tǒng)正常運行的時間，二是系統(tǒng)停機的時間。系統(tǒng)停機時間指的是企業(yè)信息系統(tǒng)的計算資源，包括服務器、軟件程序、設備運行時間、設備是否正常運行等等，系統(tǒng)的停機時間通常被分為計劃停機時間和意外停機時間兩類，計劃停機時間指的是由于企業(yè)信息系統(tǒng)在某段時間內需要安全管理人員進行日常維護工作時的停機時間，包括信息系統(tǒng)的數(shù)據備份、程序升級等一系列事務性工作，信息資源暫時無法提供有效服務，而意外停機時間經常是因為系統(tǒng)軟件錯誤、突發(fā)災難等不可預見的因素造成。

五、結論

企業(yè)信息系統(tǒng)的安全度量是企業(yè)進行信息安全管理的重要環(huán)節(jié)，企業(yè)信息系統(tǒng)的安全度量是收集系統(tǒng)中安全威脅的過程，其中關鍵因素包括質量指標、基線、模型和方法等等，安全度量是一個極為復雜的過程，在企業(yè)信息安全保障體系中的作用顯得日益重要。

參考文獻：

[1]袁皓，楊曉懿.信息安全模型安全控制研究[J].信息安全與通信保密，2007，2.

[2]胡萬兵，趙彬，周明，周保群.基于可能性計算模型的信息系統(tǒng)風險評估系統(tǒng)設計[J].微計算機信息，2006，3.

[作者簡介]沈嘉靈（1992-），女，江蘇省啟東市，西北工業(yè)大學，本科大三學生，軟件工程專業(yè)，課題方向：電子服務方向。